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@ System zur beruhrungslosen Authentisierung des Nutzers einer Datenendeinrichtung eines 
Datenverarbeitungssystems 

(§) Es wird ein System zur beruhrungslosen Authentisierung 

des Nutzers einer Datenendeinrichtung eines Datenverarbei- 
tungssystems angegeben. Der Nutzer tragt, schwer verier- 

bar, einen Identifikationstrager mit stch, der innerhalb einer 

Entfemung von weniger als 1 m abgefragt werden kann. Ein 

Abstandsleser, der nana bei der Datenendeinrichtung ange- 

bracht und Gber ein Verbtndungskabel mtt Ihr verbunden ist, 

fragt kontinuieriich die persdnltche Nutzerkennung auf dem 

Identifikationstrager ab. Warm die vorbestimmte Entfemung 

fur vorbestimmte Zeitspannen uberschritten wird, so wird 

die Datenendeinrichtung teitweise Oder ganz btockiert. Ein 

Schreibgerat programmiert den Identifikationstrager zu vor- 

gegebeneh Zeltpunkten, an denen der Nutzer anderweitlg 

identifuiert wird. Das Schreibgerat ubermrttelt die erzeugte 

Nutzerkennung an das Datenverarbeitungssystem. Sowohl 
m bei der Abfrage als auch bei der Prog rammie rung der 
% personlichen Nutzerkennung befindet sich der Identifika- 

tionstrager in einem magnetischen Wechselfeld. 
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Die Erfindung bezieht sich auf ein System zur Au- 
thentisierung des Nutzers einer Dateneinrichtung eines 
Datenverarbeitungssystems, wie es im Oberbegriff des 
Patentanspruchs 1 angegeben ist Ein derartiges System 
ist aus einer Firmenschrift der Firma UNINA bekannt, 
in welcher das Sicherheitssystem UNISES beschrieben 
ist Die Erfindung bezieht sich ferner auf ein System zur 
Authentisierung nach dem Oberbegriff des Patentan- 
spruchs 13. 

Urn geffihrdete oder anderweitig schutzwQrdige Da- 
tenverarbeitungssysteme vor unberechtigtem Zugriff 
zu schOtzen, werden Qblicherweise sogenannte LO- 
GON-Verfahren eingesetzt Hierzu werden an einer 
Datenendeinrichtung des Datenverarbeitungssystems 
Nutzerkennungen und PaBwdrter eingegeben, die dem 
autorisierten Nutzer und dem System bekannt sind. Das 
System identifiziert den Nutzer anhand seines PaBworts 
und gewlhrt ihm an der benutzten Datenendeinrich- 
tung die zugewiesenen Zugriffsrechte. 

Dieses Verfahren weist Schwachen auf, durch welche 
ein Paflwort verhaltnismaQig leicht umgangen werden 
kann: 

— Simple PaBworte sind leicht aufdeckbar; der 
Schutz des Systems vor unberechtigten Nutzern ist 
nicht gewihrleistet 

— Wirksame und damit lange PaBworte werden 
vom autorisierten Nutzer leicht vergessen. Daher 
werden diese haufig schriftiich aufgezeichnet und 
kdnnen ebenfalls aufgedeckt werden. 

— Nutzern, die ihr Identifikationsmerkmal "PaB- 
wort° vergessen haben, stehen die Systemleistun- 
gen in kritischen Situationen nicht zur Verfugung. 

— Der Vorgang des LOGON belastet den Nutzer 
zeidich und lenkt ihn von der eigemJichen Nutzung 
des Systems ab. 

— PaBworte kdnnen bei der Eingabe uber die Ta- 
statur durch Beobachten der Finger ausgespaht 
werden. 

Die aufgefOhrten Unzulinglichkeiten machen die au- 
torisierte Nutzung des Datenverarbeitungssystems un- 
bequem. Hieraus resultiert haufig die eingeschrankte 
oder unzuUngliche Nutzung der verfQgbaren Sicher- 
heitsmechanismen. 

Die vorhandenen Sicherheitsmangel haben zu Ober- 
legimgen gefflhrt, wie die Datensicherheit bei Benut- 
zung einer Dateneinrichtung grundsitzlich verbessert 
werden konnte. Das eingangs erw&hnte Sicherheitssy- 
stem UNISES verzichtet auf die manuelle Eingabe von 
PaBwdrtern und authentisiert den Nutzer eines Perso- 
nal-Computers automatised Die Vorrichtung besteht 
aus einem integrierten Schaltkreis, der im Personal- 
Computer eingebaut und mit leistungsfihigen Ver- 
schlQsselungsfunktionen versehen ist, sowie aus einem 
kleinen Hochfrequenzsender, der in einer Tasche des 
Nutzers getragen wird und eine persdnliche Kennung 
aktiv abstrahlt Der Hochfrequenzsender hat eine 
Reichweite von 5 Metern und die Funkverbindung 
selbst ist bereits durch VerschlOsselungsalgorithmen ge- 
schQtzt Wenn der Personal-Computer einen berechtig- 
ten Nutzer identifiziert, dann wird die Kennung aus dem 
IdentifikationstrSger in den VerschlQsselungs-Chip 
Qbertragen und es stehen auBer den Standardfunktio- 
nen des Personal-Computers auch die geschOtzten Da- 
tenbereiche zur VerfOgung. Die Authentisierung wird 



kontinuierlich wiederholt Wenn o'er Benutzer seinen 
Arbeitsplatz verlaBt, dann ftihrt der Personal-Computer 
die normale Datenverarbeitung fort; jedoch sperrt er 
jeden Zugang zu den Eingabegeraten (beispielsweise zu 
5 derTastatur). 

Dieses Autorisierungsverfahren erfQllt bereits einige 
der Bedingungen, die an einen verbesserten Daten- 
schutz zu stellen sind. Insbesondere wird die Unter- 
scheidung zwischen autorisierten und nicht-autorisier- 

io ten Personen mdglich, ohne daB der zugangsberechtigte 
Nutzer umstfindliche und zeitraubende Eingabeproze- 
duren vornehmen muB. Wenn sich der autorisierte Nut- 
zer entfernt, wird der Personal-Computer automatisch 
in seinen sicherheitsempfindlichen Funktionen blok- 

15 kiert Nachteilig an dem bekannten Verfahren ist der 
aktive, dh. batteriebetrtebene und daher nicht war- 
nings f re ie, sowie vergleichsweise volumindse Sender. 
Nachteilig ist ferner, daB das unbekannte Verfahren 
nicht offen ist fQr weitere Authentisierungsschritte, die 

20 urn so wichtiger werden, je grdBer das Datenverarbei- 
tungssystem ist, an welches die Datenendeinrichtung 
angeschlossen ist. 

Aus dem IBM Technical Disclosure Bulletin, Februar 
1989, S. 223 und aus Funkschau 13/1936, S. 24 - 29 sind 

25 kleine, passive Identifikationstrager bekannt. 

Die Erfindung hat sich die Aufgabe gestetlt, bei einem 
beriihrungslosen Autentisierungsverfahren der voraus- 
gesetzten Art den Schutz der personlichen Nutzerken- 
nung gegen Vertust oder Ausspahung weiter zu verbes- 

30 sera Diese Aufgabe wird durch die kennzeichnenden 
Merkmale des Anspruchs 1 in Verbindung mit den Gat- 
tungsmerkmalen geldst Eine nebengeordnete Auspra* 
gung des Erfindungsgedankens ist im Anspruch 13 an- 
gegeben. 

35 Der erfindungsgemiBe Identifikationstrager ist pas- 
siv, wartungsfrei und nicht grdBer als 3 x 15 x 20 mm. 
Bei dem erfindungsgemaBen System kann die Nutzer- 
kennung auf dem Identifikationstrager haufig, zum Bei- 
spiel tiglich, gewechselt werden. Hierzu werden die 

40 Nutzerkennungen von einer Stelle ausgegeben, die den 
Nutzer tlglich auf Grand anderer Merkmale eindeutig 
identifiziert Die neue Nutzerkennung wird dabei von 
einem an der ausgebenden Stelle installierlen Schreib- 
ger&t erzeugt und in Verbindung mit der personlichen 

45 Autentisierung durch die ausgebende Stelle automa- 
tisch an das System Qbermittelt Das SchreibgerEt kann 
mit einem der Abstandsleser kombiniert sein, der die 
Kennung aus dem Identifikationstrlger ausliest und an 
die Datenendeinrichtung weitergibt 

so FQr die tagliche Autentisierung des Nutzers bei Ober- 
nahme der Kennung kdnnen biometrische Identifika- 
tionsverfahren zum Einsatz kommen, die zu kosten- 
trachtig waxen, wenn sie fQr jede Datenendeinrichtung 
eingesetzt wQrden. Beispielsweise kann die biometri- 

55 sche Identifikation eine automatische Auswertung der 
Unterschrift sein. In einem typischen Anwendungsbei- 
spiel betritt ein Datenverarbeitungsnutzer das Betriebs- 
geblude seiner Firms und weist sich am Eingang durch 
Unterschrift aus. Statt einer automatischen Auswertung 

60 der Unterschrift kommt auch eine persdnliche Identifi- 
zierung in Betracht Er erhait daraufhin einen Identifika- 
tionstrager oder, falls er einen solchen schon besitzt, 
eine neue Kennung zur Nutzung des hausinternen Da- 
tenverarbeitungssystems. Die Kennung wird von einem 

&3 Schreibgerat einprogrammiert und zusammen unit der 
Identity des Nutzers an das Daienverarbeitungssystem 
gemeldet. Das System gibt die Tageskennunff dieses 
Nutzers gegebenenfalls an zusdtzlich su nufee$!££uth 
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systeme weiter. 

Die Idenufikationstrager ist mit dem Nutzer schwer 
veriierbar in der Nahe des Handgelenks verbundea Bei- 
spielsweise kann der Identifikationstrfiger an einem 
Armband festgeklammert werden; er kann aber auch in 
eine Uhr, einen Armreif oder sogar einen Fingerring 
fest eingelassen sein. Nach der Obernahme des Identifi- 
kationstrlgers oder der neuen Kennung begibt sich der 
Nutzer an semen Arbeitsplatz. Die Datenendeinrich- 
tung erkennt den Nutzer anhand der Kennung im Iden- 
tifikationstrlger. Hierzu ist in der Datenendeinrichtung 
ein Abstandsleser eingebaut, der jeden Nutzer in der 
Nine der Datenendeinrichtung eindeutig identifiziert 
Der Abstandsleser wird von einem speziellen Pro- 
gramm gesteuert, welches fur den identifizierten Nutzer 
sofort und automatisch den LOGON-Vorgang Qber die 
Datenendeinrichtung ausldst Der Nutzer kann ohne 
Verzdgerung mit seiner TMigkeit im Datenverarbei- 
tungssystem beginnen. Der LOGON-Vorgang kann in 
den Fallen, in denen ein vollautomatischer Ablauf nicht 
sinnvoll ist, zusitzlich vom Nutzer aktiv angestoBen 
werdea Der Ablauf des LOGON wird an der Datenend- 
einrichtung angezeigt 

Bei der Kommunikation zwischen Datenendeinrich- 
tung und Rechner k6nnen wihrend des LOGON kryp- 
tographische Verfahren zum Einsatz kommen, die ein 
Aufdecken der Nutzerkennung durch Abhoren von Lei- 
tungen erschwerea 

Die Authentisierung des an der Datenendeinrichtung 
tatigen Nutzers wird periodisch oder kontinuierlich wie- 
derholt Im Verlauf des Tages vertaflt der Nutzer haufig 
fur verschieden lange Zeitspannen seinen Arbeitsplatz. 
Die Authentisierungsvorrichtung erkennt dies und 
sperrt sofort fur die Zeit der Abwesenheit die Eingabe 
und/oder Ausgabe der Datenendeinrichtung bei lange- 
ren Abwesenheiten wird ein LOGOFF durchgef Qhrt Zu 
diesem Zweck wird die Authentisierung des an der Da- 
tenendeinrichtung tatigen Nutzers periodisch oder kon- 
tinuierlich wiederholL Verl&Bt der Nutzer den Wir- 
kungsbereich des Abstandslesers, der maximal einen 
Meter betrigt, so wird von dem Ansteuerungspro- 
gramm des Abstandslesers beispielsweise die Tastatur 
gesperrt oder der Bildschirm dunkel getastet Die Blok- 
kierung erfolgt so lange, bis der Nutzer wieder in den 
Wirkungsbereich des Abstandslesers zurflckkehrt oder 
durch eine Zeitschaltung des Ansteuerungsprogramms 
das Abmelden des Nutzers beim System ausgeldst wird 

Die verschiedenen Sperrfunktionen der Datenend- 
einrichtung kOnnen ebenfalls ausgeldst werden, wenn 
ein nicht autorisierter Nutzer in den Wirkungsbereich 
des Abstandslesers kommt Hierzu sind gegebenenfalis 
weitere Sensoren einzusetzen, die hier nicht beschrie- 
ben werdea 

Wechseln im Tagesverlauf die Nutzer an einer Daten- 
endeinrichtung, so wird fflr den jeweils berechtigten 
Nutzer sofort ein neues LOGON durchgefflhrt Jedoch 
kann der ehemalige Nutzer durch Ausldsen einer Sperr- 
funktion des Abstandslesers diesen Vorgang unterbuv 
den, beispielsweise um einem Mitarbeiter einen Einga- 
be- oder Ausgabevorgang unmittelbar an der Daten- 
endeinrichtung zu zeigea 

Am Ende des Arbeitstages gibt der Nutzer seinen 
Identifikationstrager oder seine ECennung an die zentra- 
le Ausgabestelle zurtck, wobei seine ECennung abge- 
fragt und dem Datenverarbeitungssystem die Ungflltig* 
keit dieser Kennung mitgeteilt wird 

Der Abstandsleser besteht prinzipiell qus einer Sen- 
de- und Empfangsspule sowie einer elektronischen Bau- 



gruppe. Typischerweise ist zumindest die Sende- und 
Empfangsspule sehr nahe bei der Eingabetastatur ange- 
bracht Im Betrieb umgibt sie sich mit einem niederfre- 
quenten magnetischen Wechselfeld, dessen Reichweite 
5 typischerweise bei 5 -20 cm liegt Das magnetische 
Wechselfeld reagiert auf die Anwesenhett des Identifi- 
kationstragers, der am Handgelenk des beispielsweise 
vor dem Bildschirm sitzenden und die Tastatur berflh- 
renden Nuuers angebracht ist 

to Die Erfmdung wird anhand der Zeichnungsb&tter mit 
den Fig. 1 —6 nfther beschriebea Es zeigt 

Fig. I: Die Hauptkomponenten des erfindungsgema- 
Ben Authentisierungssystems 
Fig. 2: ein Blockschaltbild des identifikationstrlgers, 

is wihrend er sich im magnetischen Wechselfeld des 
Schreibgerats befindet . 

Fig. 3: drei verschiedene Bauformen des Xdentifika- 
tionstrlgers 
Fig. 4: ein Blockschaltbild des Abstandslesers 

20 Fig. 5: eine mdgliche Bauform des Abstandslesers 
Fig. 6: ein FluBdiagramm des im Abstandsleser be- 
nutzten AbfrageprogTamms. 

In Fig. 1 ist mit DE eine Datenendeinrichtung be- 
zeichnet, die mit einem Datenverarbeitungssystem DV, 

25 typischerweise einem zentral aufgestellten Rechner ver* 
bunden ist Als Datenendeinrichtung ist in diesem Aus- 
fUhrungsbeispiel ein Personal-Computer vorgesehen; es 
kann sich jedoch auch um eine sogenannte Arbeitssta- 
tion (work station) oder um ein einfaches Terminal han- 

30 dela Im gezeichneten Ausfuhrungsbeispiel steht auf der 
Zentraleinheit des Personal-Computers ein Bildschirm, 
wahrend vor der Zentraleinheit in ublicher Weise eine 
Tastatur TA liegt Nahe bei der Datenendeinrichtung 
DE und elektrisch mit ihr verbunden, ist ein Abstandsle- 

35 ser AL angeordnet Im gezeichneten Ausfflhrungsbei- 
spiel ist ein Absundsleser AL angeordnet Im gezeich- 
neten AusfOhrungsbeispiel ist die Sende- und Emp- 
fangsspule 13 des Abstandslesers AL in die Schreib- 
tischunterlage vor der Tastatur TA eingewirkt Die Sen- 

40 de- und Empfangsspule 13 ist fiber eine Verbindungslei- 
tung 12 an eine elektronische Baugruppe 2 des Ab- 
standslesers AL angeschlossen, welche als spezifische 
Prozessor-Karte einschlieSlich des zugehdrigen Sicher- 
heitsprogramms einen Steckplatz des Personal-Compu- 

45 ters belegt Die elektronische Baugruppe 2 kann jedoch 
auch zusammen mit der Sende- und Empfangsspule 113 
in einen Vorlegekeil eingebaut sein, der sich gleichfalls 
in der Nlhe der Tastatur TA befindet In diesem Fall ist 
der Abstandsleser AL Qber eine externe Schnittstelle 

so mit dem Personal-Computer verbundea 

Mit dem Bezugszeichen ID ist ein Identifikationstra- 
ger angedeutet, der sich zwangsl&ufig in der Reichweite 
des magnetischen Wechselfelds des Abstandslesers AL 
aufhalt, wenn ein Nutzer der Datenendeinrichtung DE 

33 ihn am Handgelenk oder in der Nahe des Handgelenks 
bef estigt hat Mit ZS ist ein zum Abstandsleser AL alter- 
nativer Zusatzsensor angedeutet, der es als Option er- 
mdglicht, eine Maussteuerung in die geschfltzten Einga- 
befunktionen einzubeziehen. 

60 Der Identifikationstriger ID wird vom Nutzer zum 
Beispiel in Form einer Uhr oder eines Armbandes getra- 
gea Die Benutzeridentifikation fflr das LOGON erfolgt 
im gezeichneten AusfOhrungsbeispiel sobald sich der 
Identifikationstrager ID unmittelbar Qber der Sende- 

65 und Empfangsspule 13 des Abstandslesers AL befindet 
Die maximale Abfrageentfernung ist typischerweise 
kleiner als 20 cm, Die vorbestimmte Entfernuiw in bel- 
cher die Abfrage der Kennung rtoch mdglich isp^trOga 
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in jedem Fall weniger als 1 Meter. 

Der Identifikationstrager 10 besteht im wesentlichen 
aus 2 IComponenten. Ein Chip 14 enthfilt alle zum Be- 
trieb notwendigen elektronischen Bauteile, vorzugswei- 
se in hoch integriener Form. Die daran angeschlossene 
Miniaturspule A3 ist wesentlich kleiner als die Sende- 
und Empfangsspule 13 des Abstandslesers AL so daB 
sie zum Beispiel fQr den Einbau in eine Uhr geeignet ist 
Jeder Nutter, der Zugang zu dem zu schQtzenden Da- 
tenverarbeitungssystem DV erhalten soil erhalt einen 
Identifikationstrager ID, durch den der Nutzer eindeu- 
tig authentisiert werden kann. Diesen Identifikationstrt- 
ger ID fQhrt der Nutzer mSgiichst unverlierbar bei sich. 
Die Miniaturspule 15 tritt im Fall der Abfrage (Fig. I) 
mit dem Magnetfeld des Abstandslesers AL in Wechsel- 
wirkung. Im Fall der Programmierung (Fig. 2) befindet 
sich die Miniaturspule US im Bereich eines ahnlichen 
Magnetfelds, das von einem Schreibger&t SG erzeugt 
wird. In diesem Feld kann der Identifikationstrager ID 
kontaktlos programmiert werden. Mit dem Schreibge- 
rat SG lassen sich beispielsweise 2 31 verschiedene Iden- 
tifikationstrager ID programmieren oder sperrert An- 
derungen der auf dem Identifikationstrager ID gespei- 
cherten Parameter sind jederzeit mdglich. Das Schreib- 
gerat SG kann als eigenstindige Datenendeinrichtung 
des Datenverarbeitungssystems DV konzipiert sein; 
dann steht es beispielsweise an der Pforte eines Be- 
triebsgebaudes. Das Schreibgerat SG kann aber auch 
mit dem Abstandsleser AL kombiniert sein; dann ist der 
Identifikationstrager ID uber die Datenschnittstelle 
zwischen dem Abstandsleser AL und dem Personal- 
Computer DE programmierbar. 

Die Identifikationstrager ID werden mit einem nume- 
rischen Code programmiert Diesen Daten werden Si- 
cherheitsinformationen beigemischt Die Erzeugung er- 
folgt nach einer geheimen FormeL Der im Speicher des 
Identifikationstragers ID abgelegte Datensatz kann nur 
einmal hergestellt werden. Dadurch ist die Mdglichkeit 
ausgeschlossen, dafl mehrere Identifikationstrager ID 
mit gleichem Code existieren. Der Nutzer selbst defi- 
niert die frei zuganglichen Datenmengen, wahrend das 
Schreibgerat SG und der Abstandsleser AL fQr die Da- 
tensicherheit des Programmiervorgangs und des Abfra- 
gevorgangs sorgen. Ein bestimmter Bereich des Identifi- 
kationstragers ID bleibt dem Anwender verschlossen; 
dieser Bereich kann nur einmal bei der Herstellung pro- 
grammiert werden. Diese SicherheitsmaBnahmen zu- 
sammen mit einem ausgeklQgelten Polynom fQr die Da- 
tenfibertragung erlauben einen betriebssicheren Ein- 
satz. 

Der Chip H enthalt aile zum Betrieb notwendigen 
Funktionseinheiten. Hierzu gehdren ein Speicher fOr die 
nutzerspezifische Kennung, eine Sendeschaltung zur 
Obertragung der gespeicherten Daten, eine Empfangs- 
schaltung zur Anderung von Teilen der gespeicherten 
Daten und eine Schaltung fflr die Energiegewinnung 
zum Betrieb des Chips *4. Der Generator fQr die Span- 
nungsversorgung des Chips 114 gewinnt die Energie aus 
dem niederfrequenten magnetischen Wechselfeld Die 
integrierte Schaltung 14 speichert im Kennungsspeicher 
eine mehr als 64 bit (StandardpaBwort) lange, eindeuti- 
ge ICennung des Nutzers. Diese Kennung liegt nicht 
flflchtig vor und kann durch Aktivieren des Generators 
fflr die Spannungsversorgung ausgelesen werden. 

Ein Sendeverst&rker liest die Kennungsinformation 
aus dem Speicher, moduliert sie und flbermittelt sie an 
die Miniaturspule 25. Ober dieselbe Schnittstelle UBt 
sich die gespeicherte Kennung durch AnschlieBen an 



das Schreibgerat SG ersetzen. Der Chip 14 und die Mi- 
niaturspule 115 sind geschOtzt in einen Trager eingebaut 
Drei mdgliche Bauformen des Identifikationstragers ID 
sind in Fsg. 3 dargestellt Alle Identifikationstrager ID 
5 sind mit einer fest angebrachten Seriennummer ausge- 
stattet 

In Fig. 3.1 sind der Chip 84 und die Miniaturspule 15 
wasserdicht in flexibles Material eingegossen. Fig. 3.1 
zeigt ungefahr in natQrlicher GrOBe, wie der so entstan- 

io dene Miniaturtrager an einem Armband 16 befestigt 
werden kann. Ein Kunststoffring 11 umschlieBt den 
Identifikationstrager ID und das Armband 16, das bei- 
spielsweise ein Uhrarmband ist Der Miniaturtrager 14, 
15 kann aber auch mit Hilfe eines nichtmagnetischen 

is Clips an dem Armband 16 befestigt werden. 

In Fig. 32 ist ein Uhrgehause so gestaltet, daB neben 
dem Uhrwerk 118 zusStzlich der Chip 14 und die Spule 15 
in dem Gehause Platz finden. Die Spule 15 liegt in die- 
sem AusfQhrungsbeispiel an der Umfangslinie des Zif- 

20 ferblattes. 

Eine weitere M6glichkeit zur Befestigung des Identi- 
fikationstragers ID in Handnahe ist in FSg.33 darge- 
stellt Der Chip U und die Miniaturspule 15 sind in ein 
eigens daffir angefertigtes, nichtmagnetisches Armband 

23 20 eingebettet Dieses Armband verf Qgt uber einen Ver- 
schluB 19, so daB es auBerhalb des Betriebs abgelegt 
werden kann. Zur weiteren Erhohung der Sicherheit 
kann dieser VerschluB mit einem elektronischen Schalt- 
mechanismus kombiniert werden, der die im Chip 14 

30 gespeicherten lnformationen ldscht, so daB das Arm- 
band 20 bei Verlust fQr den Finder wertlos wird 

Es ist auch denkbar, den Identifikationstrager ID als 
Fingemng zu realisieren. 
In Fag. 4 ist ein Blockschaltbild des Abstandslesers AL 

35 dargestellt der an jede Datenendeinrichtung DE des zu 
schQtzenden Systems DV angeschlossen wird Bei Be- 
darf kann der Einsatz des Abstandslesers AL auf solche 
Daienendeinrichtungen DE beschrankt werden, die 
nicht durch sonstige Maflnahmen hinreichend geschQtzt 

40 sind oder bei denen ein haufiger Wechsel des Nutzers 
vorkommt 

Der Abstandsleser AL setzt sich im wesentlichen aus 
der elektronischen Baugruppe 2 und der Sende- und 
Empfangsspule O zusammen. Die Sende- und Emp- 

45 fangsspule 03, die aus ECupferdraht besteht, ist fiber eine 
zweiadrige Verbindungsleitung 112 mit der elektroni- 
schen Baugruppe 2 verbunden. Die elektronische Bau- 
gruppe 2 ihrerseits setzt sich in der Hauptsache aus 
einer Sende- und Empfangsschaltung 8 und einem Mi- 

50 kroprozessor 3 zusammen. Die Sende- und Empfangs- 
schaltung Q enthalt einen Generator 9 mit Leistungsver- 
starker HO, der das niederfrequente magnetische Wech- 
selfeld in der Sende- und Empfangsspule O erzeugt Das 
vom Identifikationstrager ID in die Sende- und Emp- 

55 fangsspule A3 eingekoppelte Signal wird fiber eine Emp- 
fangsschahung U so weit aufbereitet, daS es vom Mi- 
kroprozessor 3 ausgewenet werden kann. 

Der Mikroprozessor 3 besteht im wesentlichen aus 
einer CPU 3, einem EEPROM 6 zur Speicherung des 

eo Abfrageprogramms, einem RAM 7 als Arbeitsspeicher 
sowie aus einem Schnittstellenbaustein 4. Der Schrutt- 
stellenbaustein 4 betreibt, zusammen mk dem Ablfrage- 
programm, die Schnittstelle 11. Ober diese Schnittstelle fl 
wird der Abstandsleser AL an den Personal-Computer 

es oder an eine sonstige Datenendeinrichtung DE ange- 
koppelt Bei einer bereits realisierten Version ist die 
Schnittstelle 1 ds V.24-Schnittstelle zu einem Personal- 
Computer irealisiert Bei der in Fag. 1 dargestepfa, Ver, 



DE 40 15 

7 

sion, bei der die elektronische Baugruppe 2 des Ab- 
standslesers AL als Steckkarte in die Datenendeinrich- 
tung DE eingesetzt wird, wird die Schnittstelle ! als 
interne Bus-Schnittstelle ausgefOhrt 

Im Betrieb wird Qber die Leistungskette 9, *0, H2, 13 5 
ein Wechselmagnetfeld begrenzter Reichweite erzeugt 
das in der Miniaturspule 85 des Identifikationstrigers 
ID eine Wechselspannung erzeugt Diese Wechsetspan- 
nung wird im Chip 84 in die erfordertiche Betriebsspan- 
nung umgesetzt Der Identifikationstrager ID sendet to 
daraufhin die in ihm gespeicherte Nutzerkennung in bi- 
nlrer Form aus. Die Daten werden vom Empfangszweig 
13 f 112, U des Abstandslesers AL empfangen und im 
Mikroprozessor3 aufbereitet und ausgewertet Der Mi- 
kroprozessor 3 steuert Qber die Schnittstelle fl die Da- is 
tenendeinrichtung DE an und Idst dort frei program- 
mierbare Folgeaktionen a us, die im Zusammenhang mit 
dem FunktionsfluBdiagramm gemaB Fig, 6 besprochen 
werden. 

Fig, 5 zeigt eine zu Fig. 1 alternative AusfOhrungs- 20 
form des Abstandslesers AL Es handek sich urn ein 
keilfdrmiges Gehause 23, in dem sowohl die Sende- und 
Empfangsspule 113 als auch die elektronische Baugruppe 
2 untergebracht sind. Das Gehause 23 besteht aus mit- 
teldichter Faserplatte (MDF) und wird als Vorlegekeil 23 
vor die Tastatur TA eines tragbaren Personal-Compu- 
ters gelegt Eine grOne Leuchtdiode 21 auf der Obersei- 
te des Gehauses 23 zeigt die Anwesenheit eines Identifi- 
kationstragers ID im Wirkungsbereich der Sende- und 
Empfangsspule S3 an. Der AnschluB an den Personal- 30 
Computer erfolgt mit Hilfe eines aus dem Gehause 23 
herausgefQhrten Verbindungskabels 22. Das Verbin- 
dungskabel 22 wird mit einer der serieilen Schnittstellen 
des Personal-Computers verbunden. 

Das RuBdiagramm in Fig. 6 zeigt die wichtigsten 35 
Funktionen des im Abstandsleser AL enthaltenen Ab- 
frageprogramms. Im Zustand a °kein Nutzer" ist keine 
Person mit dem Datenverarbeitungssystem DV in Ver- 
bindung getreten. Die Dateneinrichtung DE ist fQr alie 
Eingaben gespem und keine ihrer Anwendungen ist 40 
aktiv. In der Funktion b OberprOft die CPU 5 fortlaufend 
das Signal des Empf angers 11 daraufhin, ob ein Identifi- 
kationstrager ID in den Wirkungsbereich der Sende- 
und Empfangsspule 13 eintritt Falls ein Identifikations- 
trager ID detektiert wird, wird die Funktion c aktiv. Mit 45 
Hilfe einer Datenbasis, die entweder im EEPROM 6 
oder auf den Speichermedien des Personal-Computers 
DE oder im zentralen Speicher des Datenverarbei- 
tungssystems DV abgelegt ist, wird geprQft, ob die ECen- 
nung dieses Nutzers fQr diese Datenendeinrichtung DE 50 
zugelassen ist Falls nicht bieibt das Gerat DE gesperrt 
und es wird gewartet, bis eine neue Kennung detektiert 
wird. 

Falls die Kennung zugelassen ist, wird im Zustand d 
die Datenendeinrichtung zur Nutzung freigegeben. Die 35 
Anwesenheit des Identifikationstr&gers ID im Wir- 
kungsbereich der Sende- und Empfangsspule 113 wird 
durch die Funktion e fortlaufend Qberwacht Sobald der 
Nutzer den Wirkungsbereich verlaBt, wird die Daten- 
endeinrichtung DE in nlher zu bestimmender Weise eo 
gespem und auf die Detektion einer weiteren Nutzer- 
kennung gewartet Der Wirkungsbereich eines Geh&u- 
ses 23 oder einer entsprechenden Schreibtischunterlage 
odes- einer sonstigen Bauform der Sende- und Emp- 
fangsspule 113 betr&gt typischerweise weniger als 20 cm, 
Oberschreitet aber aus SicherheitsgrQnden in keinem 
Fall die Entfernung von einem Meter. 

timer dem Blockieren der Datenendeinrichtung wel* 
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ches sofort ausgelast wird, ist insbesondere ein Sperren 
der Tastatur und/oder ein Dunkeltasten des Bildschirms 
zu verstehen. Diese Sperren werden wieder aufgeho- 
ben, wenn der Nutzer in den Wirkungsbereich zurQck- 
kehrt Nach Ablauf einer bestimmten Zeit (z. B. drei 
Minuten) kann das Abfrageprogramm den Nutzer beim 
Datenverarbeitungssystem DV abmelden (LOGOFF). 
Bei besonders sicherheitsempfindlichen Datenendein- 
richtungen kann auch registriert werden, wenn sich der 
Nutzer kurzzeitig von der Datenendeinrichtung DE 
entfernt und diese gespem wird Die Funktion °Sperren 
der Tastatur/Dunkeltasten des Bildschirms" kann auch 
ausgeldst werden, wenn ein nicht autorisierter Nutzer in 
den Wirkungsbereich des Abstandslesers AL kommt 
Hierzu sind ggf. weitere Sensoren einzusetzen. 

Neben dem automatischen Sperren der Datenendein- 
richtungen gibt es ftir den Nutzer natOrlich die Mdglich- 
keit, eine Sitzung explizit zu beenden. Die Funktion f 
entschetdet darilber, ob alle aktiven Anwendungen be* 
endet werden oder ob die automatischen Sperrfunktio- 
nen ausldsbar bleiben. Weitere Sperrfunktionen oder 
Folgeaktionen sind programmierbar, beispielsweise 
Qber die Schnittstelle 1 von der Datenendeinrichtung 
her. 

Patentanspruche 

1. System zur Authentisierung des Nutzers einer 
Datenendeinrichtung eines Datenverarbeitungssy- 
stems, 

bei dem der Nutzer einen Identifikationstrager, der 
innerhalb einer vorbestimmten Entfernung beruh- 
rungslos abgefragt werden kann, schwer verlierbar 
mit sich tragt, 

und bei dem ein Abstandsleser, der nahe bei der 
Datenendeinrichtung angebracht und fiber ein Ver- 
bindungskabel mit der Datenendeinrichtung ver- 
bunden ist, eine persdnliche Nutzerkennung auf 
dem Identifikationstrager sich innerhalb der vorbe- 
stimmten Entfernung befindet, 
dadurch gekennzeichnef, dafl 
ein Schreibgerat (SG) zu vorgegebenen Zeitpunk- 
ten (z. Bsp. taglich) eine neue persdnliche Nutzer- 
kennung auf dem Identifikationstrager (ID) einpro* 
grammiert und gleichartig an das Datenverarbei- 
tungssystem (DV) Gbermittelt, 
der schwer verlierbare Identifikationstrager (ID) in 
der Nahe des Handgelenks des Nutzers angebracht 
ist, 

die vorbestimmte Entfernung zwischen Identifika- 
tionstrager (ID) und Abstandsleser (AL) und damit 
auch die Entfernung zwischen Identifikationstrager 
(ID) und Datenendeinrichtung (DE) weniger als 1 
Meter betragt 

und sowohl die Abfrage als auch die Programmie- 
rung der persdnlichen Nutzerkennung durch ein 
magnetisches Wechselfeld vermittelt wird 

2. Authentisierungssystem nach Anspnich 1, da- 
durch gekennzeichnet, daB die genutzte Datenend- 
einrichtung ein Personal-Computer ist 
1 Authentisierungssystem nach Anspruch 1, da- 
durch gekennzeichnet, daB die genutzte Datenend- 
einrichtung eine Workstation ist 

4. Authentisierungssystem nach Anspruch 1 9 da- 
durch gekennzeichnet daB die genutzte Datenend- 
einrichtung ein Terminal nt 

5. Authentisierungssystem nach Anspruch I bis 4, 
dadurch gekennzeichnet, dafl das Schj^pageE^ 
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(SG) die erzeugte Nutzerkennung an die zentrale 
Datenbasis des Datenverarbeitungssystems (DV) 
Qbermittelt 

6. Authentisierungssystem nach Anspruch 1 bis 4, 
dadurch gekennzeichnet daB das SchreibgerSt s 
(SG) mit dem Abstandsleser (AL) kombiniert ist 
und die erzeugte Nutzerkennung an die Datenbasis 
im Abstandsieser(AL) Qbermittelt. 

8. Authentisierungssystem nach einem der vorher- 
gehenden Ansprflche, dadurch gekennzeichnet, daO to 
die vorbestimmte Entfernung zwischen dem Identi- 
fikationstriger (ID) einerseits und dem Absundsle- 
ser (AL) bzw. der Datenendeinrichtung (DE) ande- 
rerseits weniger als 20 cm betrlgt 

9. Authentisierungssystem nach Anspruch 1 bis 8, is 
dadurch gekennzeichnet, daB die Datenendeinrich- 
tung (DE) sofort gesperrt wird, wenn der Identifi- 
kationstriger (ID) die vorbestimmte Wirkungsent- 
fernung verllBt 

10. Authentisierungssystem nach Anspruch 9, da- 20 
durch gekennzeichnet, daB die Eingabetastatur 
(TA) blockiert wird. 

1 1. Authentisierungssystem nach Anspruch 9, da- 
durch gekennzeichnet, daB ein Bildschirm der Da- 
tenendeinrichtung (DE) dunkelgetastet oder ein 23 
Drucker der Datenendeinrichtung (DE) gesperrt 
wird. 

12. Authentisierungssystem nach Anspruch 9, da- 
durch gekennzeichnet, daB die Datenendeinrich- 
tung (DE) den Nutzer nach Ablauf einer bestimm- 30 
ten Zeitspanne beim Datenverarbeitungssystem 
(DV)abmeldet 

13. System zur Authentisierung, mit welchem der 
Nutzer eines Datenverarbeitungssystems, der sich 

in der Nlhe einer Datenendeinrichtung befindet 35 
beruhrungslos authentisiert wird, gekennzeichnet 
durch 

einen Identifikationstriger (ID), der aus einem Chip 
(14) und einer Miniaturspule (IS) besteht 
einen Abstandsleser (AL), bei dem eine elektroni- 40 
sche Baugruppe (2) Qber eine Verbindungsleitung 
(12) an eine Sende- und Empfangsspule angeschlos- 
sen ist, 

und ein Schreibgerlt (SG) zum Programmieren des 
Identifikationstrlgers (ID), welches zemral oder 45 
Qber die Datenendeinrichtung (DE) an das Daten- 
verarbeitungssystem (DV) angeschlossen ist 

14. System nach Anspruch 13, dadurch gekenn- 
zeichnet, daB der Identifikationstriger (ID) an ei- 
nem Armband (IS) befestigt ist 

15. System nach Anspruch 14, dadurch gekenn- 
zeichnet, daB die Befestigung durch einen Kunst- 
s toff ring (H7) geschieht 

16. System nach Anspruch 14, dadurch gekenn- 
zeichnet, daB die Befestigung durch einen nichtma- 
gnetischen Clip geschieht 

17. System nach Anspruch 13, dadurch gekenn- 
zeichnet, daB der Identifikationstriger (ID) in ein 
Armband (20) eingebaut ist 

18. System nach Anspruch 17, dadurch gekenn- 
zeichnet daB das Armband (20) einen VerschluB 
(119) aufweist bei dessen Offnen die Kennung im 
Identifikationstriger (ID) geldscht wird, 

19. System nach Anspruch 13, dadurch gekenn- 
zeichnet daB der IdentifikationstrSger (ID) neben 63 
einem Uhrwerk (113) in einem Uhrgehause einge- 
baut ist 

20. System nach Anspruch 13, dadurch gekenn- 
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zeichnet daB der Identifikationstrager (ID) in ei- 
nem Fingerring eingebaut ist 

21. System nach Anspruch 13 bis 20, dadurch ge- 
kennzeichnet daB der Abstandsleser (AL) in einem 
Gehluse (23) untergebracht ist das eine elektroni- 
sche Baugruppe (2) und eine Sende- und Empfangs- 
spule (13) enthllt und als Vorlegekeil ausgebildet 
ist 

22. System nach Anspruch 21, dadurch gekenn- 
zeichnet daB das Gehluse (23) eine Leuchtdiode 
(211) trlgt, welche die vollzogene Authentisierung 
des Nutters anzeigt 

23. System nach Anspruch 13 bis 20, dadurch ge- 
kennzeichnet daB die Sende- und Empfangsspule 
(13) des Abstandslesers (AL) in eine Schreibtisch- 
unterlage eingewirkt ist und daB die elektronische 
Baugruppe (2) des Abstandslesers (AL) auf einer 
Steckkarte angeordnet ist welche in die Datenend- 
einrichtung (DE) einsteckbar ist 

24. System nach Anspruch 13 bis 23, dadurch ge- 
kennzeichnet daB ein Zusatzsensor (ZS) vorgese- 
hen ist der fOr die Annlherung des Identifikations- 
trlgers (ID) an eine weitere Eingabevorrichtung, 
insbesondere eine sog. Maus, empfindlich ist 

25. System nach einem der AnsprGche 13 bis 24, 
dadurch gekennzeichnet daB weitere Sensoren 
vorgesehen sind, welche die Annaherung von nicht- 
berechtigten Personen registrieren. 

26. System nach Anspruch 13 bis 25, dadurch ge- 
kennzeichnet daB die elektronische Baugruppe (2) 
des Abstandslesers (AL) Qber eine serielle Schnitt- 
stelle an die Datenendeinrichtung (DE) angeschlos- 
sen ist 

27. System nach Anspruch 13 bis 25, dadurch ge- 
kennzeichnet daB die elektronische Baugruppe (2) 
des Abstandslesers (AL) Qber eine interne Schnitt- 
stelle an den Datenbus der Datenendeinrichtung 
(DE) angeschlossen ist 
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(54) Title: A system for touch-free authenticating of the user 
of a data terminal apparatus of a data processing procedure 



Proposed is a system for a touch-free authenticating of the user of a data 
terminal apparatus of a data processing procedure. The user wears an 
identification carrier, designed to be difficult to lose, which can be 
electronically interrogated within a distance of less than 1 m. A distance 
detector, which is installed in proximity to the data terminal apparatus and 
is connected thereto by a cable, continually interrogates the personal user 
recognition from the identification earner. When the pre-specified 
separation distance is overstepped for a given time, then the data terminal 
apparatus is partially or completely blocked. A registering device programs 
the said identification carrier at specified intervals , at which the user is 
repeatedly identified. The registering device transmits the produced user 
recognition to the data processing system. The identification carrier is 
placed in a magnetic alternating field not only for the interrogation, but also 
for the programming of the personal user recognition device. 
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Patent DE 40 15 482C1 

"A system for touch-free 
authenticating of a user of a 
data terminal of a data processing system" 

Description 

The invention concerns a system for touch-free authentication of a user of a 
data terminal apparatus of a data processing system, as this is presented in the generic 
concept of Claim 1 of the present patent. A system of this type is made known by a house 
organ of the firm UNINA, in which a security system UNISES is described. The invention 
further concerns a system for authentication in accord with the generic concept of Claim 
13 of this present patent. 

In order to protect endangered or otherwise protection worthy data processing 
systems from unauthorized entry, conventionally the so-called LOGON-process has been 
employed. By this process, user recognitions and passwords were input to a data terminal 
apparatus of the data processing system, to which the authorized user and the system were 
known. That system identified the user with the aid of his password and assured him of 
access rights to his assigned data terminal apparatus. 

This process exhibits points of weakness, by which the password can easily be 
circumvented, namely: 

• Simple passwords can be easily detected, the protection 
of the system from unauthorized users is not assured, 

• Efficient, and thereby long passwords are easily 
forgotten by the user. Therefore, these are 
frequently placed in written form and can on this 
account also be discovered, 

• Users, who have forgotten their identification 
feature "Password" are not available to the 
system in critical situations, 
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• The procedure of the LOGON is time consuming 
for the user and diverts him from the reality of the 
intended purpose of the data system and 

• Passwords can be inferred upon input by keyboard 
by observation of finger movements. 

The above outlined, inadequate measures cause the authorized usage of the data 
processing system to be uncomfortable. The result of this is the limited or inadequate 
employment of the safety measures which have been available. 

The present safety deficiencies have led to considerations, as to how data security 
for the user can be fundamentally improved. The method mentioned in the above 
introduction, "UNISES" dispenses with the manual input of passwords and authenticates 
the user of a personal computer automatically. The apparatus is comprised of an 
integrated switching circuit, which is built into the said Personal computer and is provided 
with serviceable key functions, as well as being comprised also of a small high frequency 
sender, which is carried in the pocket of the authorized user and emits a personal 
recognition signal. The high frequency sender has a field extent of five meters and the 
radio connection (for that is what it is) is further protected by key-algorithms. When the 
Personal computer identifies an authorized user, the recognition is transferred out of the 
identification carrier into the key-chip and thereupon, the standard functions of the 
Personal computer as well as the protected data areas stand available to the approved 
user. The authentication is 
[German Column No. 2] 

continually repeated. When the user vacates his work place, then the Personal computer 
carries on the normal data processing, however, it blocks every entry into the input 
function, i.e. the functioning of the keyboard. 

This authorization procedure already fulfills some of the conditions which are to be 
applied to improved data protection. Especially, a difference is made between authorized 
and non-authorized personnel, while the user is spared the complicated and time robbing 
recognition input procedures. 
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When the authorized user leaves the computer site, then the computer automatically 
drops into its safety-sensitive operative mode, blocking access as above described. 
Disadvantageous^, to the known process, is the active, i.e. self powered sender which is 
battery driven and thus not maintenance free. This sender is also thereby made 
comparatively large in size. A further deficiency, is that the unknown process is not open 
for further authentication steps. These steps increase in importance in proportion to how 
much larger becomes the data processing system to which data terminal apparatus is 
connected. From the IBM Technical Disclosure Bulletin of February, 1989, page 223 and 
from the Funkshau bulletin 13/1986, pages 24 to 29, small, passive (no battery) 
identification carriers are disclosed. 

Therefore, the invention takes upon itself the purpose of further improving 
protection against loss or hostile observation of personal use recognition, by means of a 
touch-free, authenticating system of the above mentioned characteristics. This purpose 
will be achieved by the recognition features of Claim 1 in connection with inherent 
features of data protection procedures. A subordinate embodiment of the concept of the 
invention is presented in Claim 13 of the present patent. 

The invented identification carrier is passive, maintenance free and not larger than 
3 x 1 5 x 20 mm. In the case of the system in accord with the invention, the user 
recognition can be changed frequently, possibly daily. In this case the user recognition is 
emitted from a station, which unmistakably identifies the user daily on the grounds of 
other characteristics. In this matter the new user recognition is produced by a registration 
apparatus at a plant wide dissemination station, thus automatically transmitting the 
personal authorization through the said station into the invented system. The registration 
station can be combined with a distance detector, which reads the recognition off of the 
identification carrier and transmits these data to the data terminal apparatus. 

For the daily authentication of the user by acceptance of the recognition, biometric 
identification procedures may be brought to bear. If these prove too costly for each data 
terminal apparatus, then the biometric identification can be an automatic evaluation of the 
signature. 
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In a typical application example, a data processing user enters the company building 
of his firm and identifies himself at the entry by his signature. Instead of an automatic 
evaluation of the signature, there is also a personal identification to be considered. He 
thereupon receives an identification carrier, or, in case he already has such a device, he 
receives a new recognition input for the use of the firm's data processing system. The 
recognition is programmed in by a registration device and together Vith the identity of the 
user, is transmitted to the data processing system. The system, where necessary, provides 
the daily recognition of this user to appropriate other systems he might use. 
[German Column No. 3] 

The identification carrier is bound on the wrist of the user and is hard to lose. For 
instance, the identification carrier can be affixed to a watch, or an arm band or even a ring. 
After the acceptance of the identification carrier or the new recognition, the user proceeds 
to his work station. The data terminal apparatus recognizes the user by the signal emitted 
by the identification carrier. In this procedure, a distance detector is installed in the data 
terminal apparatus, which unmistakably identifies each user proximal to the data terminal 
apparatus. The distance detector is controlled by a special program, which immediately 
and automatically releases the LOGON process through the data terminal for the identified 
user. The user then, without delay, can start with his work in the data processing system. 
Where a fully automatic recognition system is not advantageous, the LOGON process can 
be called up by the user. The running of the LOGON process is displayed on the data 
terminal equipment. 

In the communication between the data terminal and the computer, during the 
LOGON procedure, cryptographic programs can be brought into play, which make 
difficult a discovery of the use-recognition by tapping wires. 

The authentication of the user working on the data terminal apparatus is periodically 
or continually reviewed. In the course of the day, the user frequently leaves his workplace 
for time spans of various lengths. The authentication apparatus detects this and, for the 
time of the absence of input and/or output to the data terminal apparatus, activates a 
LOGOFF procedure. 
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For this purpose, the authorization of the active user on the data terminal apparatus 
is periodically or continually reviewed. If the user leaves the active zone of the distance 
detector area, which is one meter maximal, then the control program of the distance 
detector area will block the keyboard and/or render the monitor screen dark. This 
blockage remains so, until the user returns to the area of the distance detector, or, by 
means of a time switch, the control program will release the quitting signal of the user and 
shut down the system. 

The various blockage functions of the data terminal apparatus can be released, in like 
manner, when a non-authorized person comes into the active field of the distance detector. 
In this case, where required, additional sensors can be located, which will not be described 
here. 

If, in course of the day, there is a change of user on a data terminal apparatus, then, 
if said new user is authorized, then immediately another LOGON is carried through. 
However, the former user, by the release of a blockage function of the distance detector,, 
can accommodate this procedure, for instance in order to show a co-worker an input or an 
output process directly on the data terminal apparatus. 

At the end of the workday, the user returns his identification carrier or his 
recognition device back to the central issuance station, whereby his recognition is 
challenged and the data processing system is informed of the invalidity of this recognition 
signal. 

The distance detector is comprised principally of a sending and receiving coil as 
[German Column No. 4 J 

an electronic subassembly. Typically, at least the sending and receiving coil is installed 
very near to the input keyboard. In operation, this is surrounded by a low frequency, 
magnetic alternating field, the active extent of which is typically 5 to 20 cm. The magnetic 
alternating field reacts to the presence of the identification carrier, which is placed on the 
wrist of the user sitting, for example, before the screen and operating the keyboard. 



The invention will be described in greater detail with the help of reference to the 
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drawings, especially Figs. 1 to 6. There is shown in: 

Fig. 1 the main components of the authentication 
apparatus in accord with the invention, 

Fig. 2 a block circuit diagram of the identification 
carrier, while it is in the magnetic alternating 
field of the registration apparatus, 

Fig. 3 three identification carriers, each constructed differently, 

Fig. 4 a block diagram of the distance detector, 

Fig. 5 a possible embodiment of the distance detector and 

Fig. 6 a logic diagram of the employed interrogating 
program in the distance detector. 

In Fig. 1, the data terminal apparatus is designated as DE, which is connected, in a 
typical manner, with a data processing system DV, this being normally a centrally placed 
computer. A personal computer is foreseen, in this embodiment of the present patent, as a 
data terminal apparatus. This may just as well be a so-called workstation or a simple 
terminal. In the depicted embodiment on the central unit of the Personal computer is a 
monitor with screen, while, in front of the said central unit is, as usual, a keyboard TA. In 
proximity to the data terminal apparatus DE and electrically connected therewith is 
located a distance detector AL. A distance detector AL is shown in the illustrated 
example. In the drawn embodiment is shown the sending and receiving coil 13 of the 
distance detector AL, worked into the desk surface in front of the keyboard TA The 
sending and receiving coil is connected by an electrical cable 12 to an electronic 
subassembly 2 of the distance detector AL, which possesses a slot in a Personal computer, 
as a specific processor card, including the associated safety program. The electronic 
subassembly can also be concealed in a front wedge, along with the sending and receiving 
coil 13, which likewise finds itself in proximity to the keyboard TA. In this case, then the 
distance detector AL is connected by means of an external interface with the personal 
computer. 
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ED designates an identification carrier, which necessarily maintains a position in the 
active zone of the magnetic alternating field of the distance detector AL, when a user of 
the data terminal apparatus DE has it on his wrist or in proximity of the wrist. ZS denotes 
an alternative sensor to the distance detector AL, which offers the option of bringing a 
mouse into the protected input functions. 

The identification carrier ID is found directly over the sending and receiving coil 13 
of the distance detector AL. The maximum interrogation distance is typically less than 20 
cm. The prespecified distance, in which interrogation regarding identity is still possible, is 
in any case, less than 1 meter. 
[ German Column No. 5 J 

The identification carrier ED is comprised essentially of 2 components. A chip 14 
contains all necessary electronic subassemblies necessary for operation, advantageously in 
a highly integrated form, The miniature coil 15 is essentially smaller than the sending- 
receiving coil 13 in the distance detector AL, so that it is, for example, suitable for 
integrating inside of a watch. Each user, who should have access to the protected data 
processing system D V, receives an identification carrier ID, by means of which the 
authenticity of the user can be reliably determined. This identification carrier the user is to 
carry with him in a manner which prevents loss as far as possible. The miniature coil 1 5, 
in the case of interrogation, (Figs 1, 2) enters into the alternating magnetic field of the 
distance detector AL. In the case of programming (Fig. 2), the miniature coil 15 finds 
itself in a similar magnetic field, which has been produced by the registration apparatus 
SG. In this field, the identification carrier ID can be touch-free programmed. With the 
registration apparatus SG, for instance 2 31 different identification carriers ID can program 
or block. Alterations in the stored parameters on the identification carrier ID can be 
effected at any time. The registration apparatus SG can be conceived also as a self 
contained data terminal apparatus of the data processing system DV. In this case, it is 
positioned at the gate of a company building. 
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The registration apparatus SG can, however, be combined with the distance detector 
AL, in which case the identification carrier ID is programmable through the data interface 
between the distance detector AL and the personal computer DE. 

The identification carrier ID is programmed with a numerical code. To these data 
was added the security information. The output is determined by a secret formula. The 
data record which is placed in the memory of the identification carrier ID can only be 
generated once. Thereby, the possibility is excluded, that several identification carrier ID 
could exist with the same code. The user himself defines the freely accessible quantities of 
data while the registration apparatus SG and the distance detector AL attend to the data 
security of the program procedure and the interrogation. A particular range of the 
identification carrier ID remains closed to the user. This range, again, can only be 
programmed for the one time it is called up. These security measures, together with an 
ingenious polynomial for the data transmission permit a operationally safe installation. 

The chip 14 contains all functional components necessary for operation. To this 
belong memory storage for the user-specific recognition, a sending circuit for the 
transmission of the stored data, a receiving circuit for the alteration of parts of the stored 
data and a circuit for the energy yield for the operation of the chip 14. The generator for 
the voltage supply to chip 14 obtains the energy from the low frequency, alternating 
magnetic field. The integrated circuit 14 stores in the identification storage the 
identification memory defining the user, this being a more than 64 bit long (standard 
password), unmistakable recognition of the user. This recognition is not volatile and can 
be read-out by the activation of the generator for the voltage supply. 

A sending amplifier reads the recognition information from the storage, modulates it, 
and transmits it to the miniature coil 15. Over the same interface connection, the stored 
recognition is transmitted to the registration apparatus SG. The chip 14 and the miniature 
[German Column No. 6] 

coil 15 are protectively installed within a carrier. Three possible modes of construction of 
the identification carrier ID are presented in Fig. 3. All identification carriers ID are 
marked with a firmly applied serial number. 
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In Fig. 3.1 the chip 14 and the miniature coil 15 have been cast into water tight, 
flexible material. Fig. 3.1 shows, approximately in natural size, how the miniature carrier, 
so constructed, can be affixed onto an armband 16. A plastic ring 17 encapsulates the 
identification carrier and the armband 16, which armband 16, for instance can be a 
wristwatch band. The miniature carrier 14, 13 can, however, be affixed to the arm band 
16 with the help of non magnetic clips. 

In Fig. 3.2 a watch housing is so adapted, that beside the clockwork 18, additionally 
the chip 14 and the coil 15 can find a place in the housing. The coil 15 lies in this 
embodiment on the outside circumferential line of the dial. 

A further possibility for the fastening of the identification carrier ED in proximity to 
the hand is found pictured in Fig. 3.3. The chip 14 and the miniature coil 15 are 
embedded in a non-magnetic armband 20, which said armband is fashioned for this service. 
This armband possesses a closure 19, so that it can be taken off outside of the place of 
business. 

For a further increase of the security, this closure can be combined with an electronic 
circuit, in which the stored information in chip 14 is erased, so that the arm band 20, upon 
loss, is worthless for the finder. 

Consideration can also be given to constructing the identification carrier ID as a 
finger ring. 

In Fig. 4 is presented a block diagram of the distance detector AL, which is 
connected to each data terminal apparatus DE of the system to be protected. Upon need, 
the installation of the distance detector AL can be limited to such data terminal 
apparatuses DE as are not sufficiently protected by other measures or by those in which a 
frequent change of operators occurs. 

The distance detector AL is comprised of a combination of the electronic 
subassembly 2 and the send and receive coil 13 as pictured in Fig. 4. The send and receive 
coil, which is made of copper wire, is attached by a two line connector 12 with the 
electronic subassembly 2. The electronic subassembly 2 is mainly a combination of a 
send/receive circuit 8 and a microprocessor 3. 
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The send and receive circuit 8 contains a generator 9 with a power amplifier 10, which 
produces the low frequency, alternating magnetic field in the send and receiving coil 13. 
The signal launched from the identification carrier ED in the send and receive coil 13 is 
broadcast so far by a receiving circuit 1 1, that it can be evaluated by a microprocessor 3. 

The microprocessor 3 is comprised principally of a CPU 5, an EEPROM 6 for the 
storage of the interrogation program, a RAM 7 for operational purposes, and an interface 
module 4. The interface module 4, together with the interrogation program, runs the 
interface 1 . By means of this interface 1, the distance detector AL is coupled to the 
personal computer DE. In the case of an already operative version, the interface 1 is a 
V.24-Interface to a personal computer. In the presented version in Fig. 1, in which the 
[German Column No. 7] 

electronic subassembly 2 of the distance detector AL is slipped into the data terminal as a 
functional card, then the interface 1 is designed as an internal bus-interface. 

In operation, by means of the capacity chain 9, 1 0, 1 2, 1 3 an alternating magnetic 
field of a limited active extent is produced, which induces an alternating voltage in the 
miniature coil 15 of the identification carrier ID. This alternating voltage is converted to 
the necessary operational voltage in chip 14. The identification carrier ID subsequently 
transmits the user recognition which is stored therein in binary form. The data are 
received by the receiving branch 13, 12, 1 1 of the distance detector AL and processed in 
the microprocessor 3 and there evaluated. The microprocessor 3 exerts control through 
the interface 1 over the distance detector DE and releases therein free programmable 
reactions, which, in accord with the function flow diagram of with Fig. 6 are executed. 

Fig. 5 shows an embodiment or the distance detector AL which is an alternative to 
that shown in Fig. 1. Involved here is a wedge shaped housing 23, in which not only the 
send and receive coil 13 is located, but also the electronic subassembly 2. The housing 23 
is comprised of a medium thick, fiber plate (MDF) and is laid frontally before the keyboard 
TA of a portable personal computer. A green light-diode 21 on the upper side of the 
housing 23 denotes the presence of an identification carrier ID in the active zone of the 
sending and receiving coil 13. 
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The connection to the personal computer is carried out with the help of a connection cable 
22 leading out of the housing 23. The connection cable 22 is connected with one of the 
serial interfaces of the personal computer. 

The functional logic flow chart of Fig. 6 shows the most important functions of the 
interrogation program contained in the distance detector AL. In the function "No User", 
then no person has connected into the data processing system DV/The data apparatus 
(personal computer) DE is, for all purposes, blocked, and none of its applications are 
active. In the function b), the CPU checks out continually the signal of the receiver 1 1, 
determining whether or not an identification carrier ID has entered into the active area of 
the sending and receiving coil 13. In case an identification carrier ID is detected, then the 
function c) becomes energized. With reference to a data base, the said carrier ID is placed 
in the EEPROM 6, or the on the memory medium of the personal computer DE, or yet in 
the central storage of the data processing system D V. In any case, the carrier ID is 
checked whether or not this user for this data terminal apparatus is admissible. In case the 
determination is negative, the apparatus DE is blocked and then continues to wait until a 
new recognition signal is detected. 

In case the recognition is admissible, then release is given to enter function d) 
wherein the data terminal apparatus is made free for use. The presence of the 
identification carrier ID in the active area of the send and receive coil V 3 is continually 
monitored by the function e). As soon as the approved user vacates the said active zone, 
then the data terminal apparatus is blocked, in a manner to be described, and again waits 
upon the detection of a further user recognition. The active zone of a housing 23, or of a 
corresponding desk pad, or another means of containing the sending and receiving coil 13 
extends typically less than 20 cm. In no case is the extent more than one meter. 
[German Column No.8] 

Under the heading of blockage of the data terminal apparatus which is immediately 
triggered, is to be understood especially a blocking of the keyboard and/or a blank-out of 
the screen. These blockages are again lifted when the user returns into the active zone. 
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After the duration of a specified time (for instance, three minutes) the interrogation 
program can cut-off the user at the data terminal apparatus (LOGOFF). Where especially 
security sensitive data terminal apparatuses, registration is executed if the user absents 
himself for a short moment from the data terminal apparatus and this is placed in blockage. 
The function "Block the keyboard/blank out the screen" can also be released if a non- 
authorized user comes into the active zone of the distance detector AL. For this 
protection, additional sensors are to be installed. 

Besides the automatic blocking of the data terminal apparatus, naturally, the user is 
offered the possibility of explicitly ending a conference. The function f) makes the 
decision as to whether all active applications are ended or whether the automatic blockage 
function should remain unreleased. Further blocking functions or reactions are 
programmable, for instance programmed through the interface 1 of the data terminal 
apparatus. 

CLAIMS 

Claimed is: 

1 . A system for the authorization of the user of a data terminal apparatus in which the 
user bears with him an identification carrier, which, within a prespecified distance 
can be touch-free interrogated and said carrier is made difficult to lose, and by which 
system a distance detector, which is installed proximal to the data terminal apparatus 
and by means of a connection cable is in electrical communication with the data 
terminal apparatus, detects a personal user recognition signal from the said 
identification carrier within the prespecified distance, 

therein characterized, in that a registration apparatus (SG) at a specified time (for 
instance daily) programmably enters a new personal user recognition into the 
identification carrier (ED) and likewise into the data processing system (DV), 
therein characterized, in that the identification carrier, which is difficult to lose, is 
placed on the wrist of the user, 
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therein characterized, in that the prespecified distance between the identification 
carrier (ID) and the distance detector (AL) and thereby also the distance between the 
identification carrier (ED) and the data terminal apparatus (DE) is less then 1 meter 
and therein characterized, in that not only the interrogation but also the 
programming of the personal user recognition is transmitted by a magnetic, 
alternating field. 

2. An authorization system in accord with Claim 1, therein characterized, in that the 
employed data terminal apparatus is a personal computer. 

3. An authorization system in accord with Claim 1, therein characterized, in that the 
employed data terminal apparatus is a work station. 

4. An authorization system in accord with Claim 1, therein characterized, in that the 
employed data terminal apparatus is a personal computer. 

5. An authorization system in accord with Claims 1 to 4, therein characterized, in that 
the registration apparatus (SG) transmits the generated user recognition to the 
central data base of the data processing systems (DV). 

[German Column No.9] 

6. An authorization system in accord with Claims 1 to 4, therein characterized, in that 
the registration apparatus (SG) is combined with the distance detector (AL) and the 
user recognition produced thereby is transmitted to the data base in the said distance 
detector (AL). 



7. [Omitted in original text] 
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8. An authorization system in accord with one of the foregoing Claims, therein 
characterized, in that the prespecified distance between the identification carrier (ID) 
on the one hand and the distance detector (AL) on the other — i.e. the data terminal 
apparatus (DE) — is less than 20 cm. 

9. An authorization system in accord with Claims 1 to 8, therein characterized, in that 
the data terminal apparatus (DE) is immediately blocked, when the identification 
carrier (ID) leaves the predetermined distance from the active zone. 

10. An authorization system in accord with Claims 1 to 9, therein characterized, in that 
the input keyboard (TA) is blocked. 

11. An authorization system in accord with Claim 9, therein characterized, in that a 
screen of the data terminal apparatus (DE) is made blank or a printer of the data 
terminal apparatus is blocked. 

12. An authorization system in accord with Claim 9, therein characterized, in that the 
data terminal apparatus (DE) signs off the user after the expiration of a specified 
interval of time on the data processing system (DV). 

13. A system for the authorization, with which a user of a data processing system who is 
located proximal to a data terminal apparatus is touch-free authenticated, 
characterized by: 

• an identification carrier (ID), which is comprised of 
a chip (14) and a miniature coil (15), 

• a distance detector (AL), with which an electronic subassembly (2) 

is connected by a connection cable (12) to a sending and receiving coil, 
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• and a registration apparatus (SG) for the programming of the 
identification carrier (ED), which registration apparatus (SG) is 
centrally, or by means of the data terminal apparatus (DE), 
is connected to the data processing system (DV). 

14. A system in accord with Claim 13, therein characterized, in that the identification 
carrier (ID) is fastened to an arm band (16). 

15. A system in accord with Claim 14, therein characterized, in that the fastening is 
carried out by a plastic ring (17), 

16. A system in accord with Claim 14, therein characterized, in that the fastening is 
effected by a non-magnetic clip. 

17. A system in accord with Claim 13, therein characterized, in that the identification 
carrier (ID) is inset into an armband (20). 

18. A system in accord with Claim 17, therein characterized, in that the arm band (20) 
possesses a closure means (19) wherein by the opening of which the recognition in 
the identification carrier is lost. 



19. A system in accord with Claim 13, therein characterized, in that the identification 
carrier (ID) is built into the housing of a wristwatch. 

[German Column No. 10] 

20. A system in accord with Claim 13, therein characterized, in that the identification 
carrier (ID) is installed in a finger ring. 
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21 . A system in accord with Claims 13 to 20, therein characterized, in that the distance 
detector (AL) is protected within a housing (23), which contains an electronic 
subassembly (2) and a send and receive coil (13) and is designed as a wedge shaped 
work-desk pad. 

22. A system in accord with Claim 21, therein characterized, in that the housing (23) 
carries a light diode (21) which shows the foil authenticity of the user. 

23. A system in accord with Claims 13 to 20, therein characterized, in that the sending 
and the receiving coil 13 of the distance detector (AL) is inlaid in a work-desk 
equipment base and further characterized in that the electronic subassembly (2) of 
the distance detector (AL) is placed upon a card which can be inserted into the data 
terminal apparatus (DE) 

24. A system in accord with the Claims 13 to 23, therein characterized, in that an 
additional sensor (ZS) is provided, which is sensitized for the approach of an 
identification carrier (ID) on a further input means, in particular a so-called mouse. 

25. A system in accord with one of the Claims 13 to 24, therein characterized, in that 
further sensors are provided, which register the approach of non-approved persons. 

26. A system in accord with Claims 13 to 25, therein characterized, in that the electronic 
subassembly (2) of the distance detector (AL) is connected through a serial interface 
to the data terminal apparatus (DE). 

27. A system in accord with claims 13 to 25, therein characterized, in that the electronic 
subassembly (2) of the distance detector (AL) is connected through an internal 
interface to the data bus of the data terminal apparatus (DE). 

[This concludes DE 40 15 482] 
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Fig. 1: Main Components 
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Fig. 2: Block diagram of the ID carrier 
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Fig. 3: Forms of the ID carrier 



3.1: Fastening on an armband 




Fig. 3.2: Integrated in a wristwatch 
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Fig. 4: Block circuit diagram of the "Distance Detector" 
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Fig. 5: Housing for "Distance Detector" 




Bottom 
View 




23) 

I 



Perspective view 



DE 40 15 482 C1 

Fig. 6: Functional logic flow diagram 




